Hedefle Bağlantılı Web Sitelerini Tarama

Not: Bu SSS (Sıkça Sorulan Sorular) başlığı hem Netsparker Desktop hem de Invicti Enterprise için geçerlidir. Konu hakkında daha fazla dokümanı destek sayfasında bulabilirsiniz.

Netsparker Desktop ve Invicti Enterprise web uygulaması güvenlik tarayıcıları, varsayılan değerlerde başlangıç URL’inden farklı olan domainleri taramamaktadır. Dolayısıyla siz, http://example.com adresini taratırken http://api.example.com linkine bir bağlantı mevcutsa Netsparker, http://api.example.com ile bağlantılı linkleri ya da web sitelerini takip etmeyecek ve taramayacak. Bunun yerine söz konusu linkleri Knowledge Base bölümünün Out of Scope Links kısmında gösterecek.

Additional Websites’ı Yapılandırma

Netsparker’ın belirlenen hedef ile bağlantılı web sitelerini taramasını istiyorsanız bu siteleri, Start a New Website or Web Service Scan penceresinde yer alan Additional Websites kısmında tanımlamış olmanız gerekir.

Bir web sitesi tanımlarken yapmanız gereken, şayet varsayılan portta bulunan bir site değilse port numarasını ve yanı sıra protokolü de içeren tam bir URL girmek olacaktır. Örnek olarak http://api.example.com ve http://docs.example.com:8043 adresleri verilebilir. Ayrıca lisansınızın izin verdiği siteleri ekleyebileceğinizi unutmayın.

Canonical Web Sitelerini Yapılandırma

Netsparker, canonical bağlantıları hedef sitenin bağlantıları olarak kabul eder ve aynı tarama ayarlarını uygular. Örneğin http://example.com and http://www.example.com adresleri aynı web sitesini işaret ediyorsa, yukarıdaki ekran görüntüsünde gösterildiği gibi Canonical kutucuğunu işaretlemeniz yeterli olacaktır. Netsparker, bu seçenek aktifken http://www.example.com/blogs/foo-bar gibi bir canonical domain tespit ettiğinde bunu http://example.com/blogs/foo-bar şekline dönüştürecek ve bu şekilde tarayacaktır.

Additional Websites İçin Kullanılan Tarama Profili ve Ayarları

Not: Netsparker Desktop ve Invicti Enterprise’da Scan Profiles ile alakalı daha fazla dokümanı ilgili bağlantılarda bulabilirsiniz.

Scan Scope

Herhangi bir yapılandırmaya uğramış olan Scan Scope ayarları, Additional Websites için geçerli değildir. Bunun yerine, Whole Domain tarama kapsamı ayarları uygulanır. Ki bu, additional website’ta tespit edilen sayfa ve alt klasörlerin taranacağı anlamına gelir.

Include / Exclude URLs

Yapılandırılmış Include / Exclude URLs ayarları, Additional Websites için de geçerlidir. Yani ilave olarak eklenmiş sitenin exit ya da endsession anahtar kelimeleri bulunduran linkleri tarama dışında kalacaktır. Aşağıda örnek ayarları görmekteyiz:

Imported Links

Ayrıca Additional Websites’ta geçerli olacak olan Imported Links’i de ekleyebilirsiniz.

URL Rewrite Kuralları

URL Rewrite ayarları Additional Sites için de geçerli olacaktır. Bu nedenle, şayet Heuristic URL Rewrite teknolojisi kullanılmışsa tarayıcı, web sitesinde kullanılan URL Rewrite kurallarını otomatik olarak tespit edecektir. Bunun yanı sıra eğer özel URL Rewrite kuralları tanımlanırsa yapılan ayarlar yine Additional Sites için de geçerli olacaktır.

Yani bir Additional Website yukarıdaki ayarlara uygun bir link barındırıyorsa, örneğin; http://api.example.com/products/1 gibi, URL Rewrite parametreleri otomatik olarak bulunacaktır.

Authentication

Additional Websites için kimlik doğrulama ayarlarını yapmak mümkün değildir.

Additional Websites’a Ait Tarama Faaliyetlerini ve Tespit Edilen Sorunları Raporlama

Alttaki ekran görüntüsünde de görüldüğü üzere, Site Map penceresinde yapılandırılmış Additional Websites için de bir kısım bulunacaktır.

Bir tarama esnasında, Dashboard’daki tam URL’ler Activity kısmında, alfabetik sıraya göre gösterilir.

Bir diğer husus ise alınan raporlarla alakalı. Şöyle ki artık raporlarda, taratılan yapılandırılmış Additional Websites’ın da listelendiği bir girdi mevcut.

Raporlardaki URL’ler sadece dosya yolunun ve sorgu bileşeninin raporlanmasının aksine tam halde rapor edilir, dolayısıyla problemin ilave siteler de dahil olmak üzere hangi siteye ait olduğunu görebilirsiniz.